Maßnahmen gegen Rootkits
Zunächst einmal sollten Administratoren oder Anwender feststellen, ob es sich bei dem diagnostizierten Problem wirklich um einen "Befall" durch ein Rootkit handelt. Das ist schon deshalb wichtig, weil sich echte Rootkits in der Regel so tief in ein System einnisten, dass eine hundertprozentige Entfernung nur durch eine komplette Neuinstallation des Systems garantiert werden kann. Oft werden aber auch harmlose Systemaktivitäten oder bekannte Programme wie Skype von Anwendern als Rootkit missdeutet, da bei ihnen Dateien zum Einsatz kommen, die vor der normalen Ansicht versteckt werden. So nutzt auch das Dateisystem NTFS der Windows-Rechner standardmäßig solche versteckten Dateien, die normalerweise auch im Windows Explorer nicht angezeigt werden. Deshalb gilt bei einem vermuteten Rootkit auf einem Rechner:
-
Entsprechende Testprogramme ausführen, die grundsätzlich feststellen, ob sich ein Rootkit auf dem System befindet;
-
Wer Windows XP oder einen Server bis Windows Server 2003 einsetzt, kann auf den RootkitRevealer von Mark Russinovich zurückgreifen. Die Auswertung der Ergebnisse erfordert allerdings Systemkenntnisse;
-
Für modernere Windows-Systeme wie Windows 7 und die 64-Bit-Versionen empfiehlt sich eine der freien Lösungen, wie sie unter anderem von Sophos unter der Bezeichnung Sophos Anti-Rootkit zum Download angeboten werden (diese Lösung ist leider auch nicht mehr ganz neu, soll aber im Februar 2012 in einer überarbeiteten Version zur Verfügung stehen);
-
Auf dem aktuellen Stand ist hingegen die Lösung TDSSKiller vom Hersteller Kaspersky: Sie kann auf 32- und auf 64-Bit-Systemen eingesetzt werden. Das Programm findet und bekämpft auch sogenannte Bootkits, die sich im Bootsektor eines Rechners einnisten und so von normalen Anti-Malware-Lösungen nicht gefunden werden;
-
Auch empfehlenswert: F-Secure Blacklight - ein an sich sehr gutes Programm, das aber leider nur Systeme bis Windows Vista in der 32-Bit-Version unterstützt (XP wird auch in der 64-Bit-Version unterstützt).
-
Achtung: Werden diese Untersuchungen so durchgeführt, dass sie dabei auch sämtliche Festplatten und Dateisysteme durchsuchen, so werden viele versteckte Dateien gefunden, die aber nicht unbedingt Teile eines Rootkits sind, sondern von ganz normalen Anwendungen verwendet werden.
Fazit: Änderungen tief im System sind schwer zu beseitigen
Unsere Erfahrungen zeigen, dass oftmals bereits von einem Rootkit gesprochen wird, wenn in Wirklichkeit doch ganz andere Ursachen (wie etwa falsch installierte Treiber oder schlecht konfigurierte Systemeinstellungen) für ein unvermutetes Systemverhalten verantwortlich sind. Deshalb gilt: zunächst erst einmal Ruhe bewahren und das System genau analysieren. Hat einer der zuvor genannten Hilfsprogramme eine unbekannte oder offensichtlich verborgene Datei entdeckt, sollten Anwender auch hier mit Umsicht an das Entfernen dieser vermeintlichen Malware gehen - oft wird ein System erst durch diese Reparaturversuche nachhaltig beschädigt.
Trotzdem dürfen die Gefahren der Rootkits nicht unterschätzt werden: So hat zwar auch Microsoft etwas gegen diese Art der Angriffe getan, indem bei modernen Windows-Systemen nur noch signierte Treiberdateien erlaubt sind und dieser Schutz gerade auf den 64-Bit-Versionen entsprechend rigoros durchgesetzt wird. Allerdings wurde im Mai 2011 ein erstes Rootkit entdeckt, das genau auf die 64-Bit-Systeme spezialisiert ist - es gelangt durch eine veraltete Java-Version auf die Systeme.
Erfahrene Anwender können mit spezielleren Tools wie SanityCheck, das für den privaten Gebrauch in einer kostenlosen Version zur Verfügung steht, oder auch GMER (Freeware) tiefer in die System eindringen und nach Ursachen und Verursachern suchen. Wer bei einem nachgewiesenen Fall eines Befalls durch ein Rootkit aber ganz sicher gehen will, sollte sich zur Neuinstallation des Systems entschließen - ein weiterer Grund, immer ein sauberes und aktuelles Systemimage bereitzuhalten.